O malware Linux PyLoose utiliza técnicas fileless para não deixar rastos em disco, dificultando a sua detecção.
Um dos grandes pontos fracos do malware é o facto de ficarem armazenados no disco ou SSD, o que facilita a sua detecção por sistemas anti-vírus e anti-malware. Mas este malware PyLoose evita essa fraqueza, ao funcionar completamente a partir de memória.O ataque começa por tirar partido de vulnerabilidades no sistema que possibilitem a execução de comandos remotos; mas em vez de os utilizar para instalar o malware em disco, utiliza utilitários legítimos do sistema que, neste caso, são utilizados para injectar um processo malicioso directamente para uma zona de memória e executar o malware a partir daí. Como tal, nunca chega a existir qualquer pedaço de malware registado no disco ou SSD.
Neste caso o malware tem sido utilizado para executar o software de mineração XMRig e usar o CPU das vítimas para gerar criptomedas Monera, populares por privilegiarem o anonimato e privacidade dos utilizadores dificultando o processo de se saber para onde são transferidas.
O alvo preferencial deste ataque têm sido instâncias de máquinas acessíveis publicamente na cloud; pelo que quem tiver destas máquinas deverá ter cuidado adicional e monitorizar todo o tipo de utilização excessiva de CPU.